1 SCOPO E AMBITO DEL DOCUMENTO

(1)

MANUALE DELLA CONSERVAZIONE

Documento Edizione Rev. Data Pagina

MC 2 5 25.03.2019 1 / 53

TIPO DI DOCUMENTO MANUALE DELLA CONSERVAZIONE

PROGETTO CONSERVAZIONE DIGITALE A NORMA NOME CLIENTE MEDIATICA S.P.A.

STATO DEL DOCUMENTO APPROVATA

VERSIONE 2.5

DATA 25.03.2019

ATTIVITÀ RESPONSABILITÀ FIRMA DATA

Redazione Adriano Ricchello

Verifica

Responsabile del servizio di conservazione Stefano Di Zenzo Approvazione

Responsabile del servizio di conservazione Stefano Di Zenzo

MATRICE DELLE REVISIONI

Par. Motivazioni in Sintesi

Par. 5.3.2 Inserito riferimento per gli audit interni al par. 4.8 del Piano di Sicurezza Par.6.1 Previsto check automatico tipo documento in fase di versamento

Par. 8.3 Aggiornata versione VMWare alla 6.0.3 Par. 9 Specificati principi di separazione dei ruoli Par. 9.1 Aggiornato riferimento al GDPR 679/2016

Par. 10 Inserito SLA di uptime del servizio

LISTA DI DISTRIBUZIONE

N° Copia Funzione

1 Responsabile del Servizio di Conservazione 1 Privacy Manager

1 IT Manager 1 Security Manager

1 AGID

(2)

Manuale del servizio di Conservazione dei documenti informatici

MC 2 5 25.03.2019 2 / 53

Sommario

1 SCOPO E AMBITO DEL DOCUMENTO ... 4

2 TERMINOLOGIA (GLOSSARIO E ACRONIMI) ... 6

2.1 Documenti correlati ... 9

3 NORMATIVA E STANDARD DI RIFERIMENTO ... 11

3.1 Normativa di riferimento ... 11

3.2 Standard di riferimento ... 12

4 RUOLI E RESPONSABILITA’ ... 13

5 STRUTTURA ORGANIZZATIVA PER IL SERVIZIO DI CONSERVAZIONE ... 17

5.1 Organigramma ... 17

5.2 Strutture organizzative: attività proprie di ciascun contratto di servizio di conservazione. ... 17

5.2.1 Acquisizione, verifica e gestione dei pacchetti di versamento presi in carico e generazione del rapporto di versamento; ... 18

5.2.2 Preparazione e gestione del pacchetto di archiviazione; ... 19

5.2.3 Preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione e della produzione di duplicati e copie informatiche su richiesta. ... 19

5.2.4 Scarto dei pacchetti di archiviazione ... 20

5.2.5 Chiusura del servizio di conservazione (al termine di un contratto) ... 20

5.3 Strutture organizzative: attività proprie di gestione dei sistemi informativi. ... 20

5.3.1 Conduzione e manutenzione del sistema di conservazione ... 21

5.3.2 Monitoraggio del sistema di conservazione ... 22

5.3.3 Change management; ... 23

5.3.4 Verifica periodica di conformità a normativa e standard di riferimento. ... 24

6 OGGETTI SOTTOPOSTI A CONSERVAZIONE ... 26

6.1 Oggetti conservati ... 26

6.2 Pacchetto di versamento ... 27

6.2.1 Modo interattivo ... 28

6.2.2 Layer applicativo ... 28

6.2.3 Struttura del Rapporto di Versamento - RdV ... 29

6.3 Pacchetto di archiviazione ... 31

6.3.1 Struttura del Pacchetto di Archiviazione - PDA ... 31

6.3.2 Indice del pacchetto di archiviazione - IPdA ... 33

6.4 Pacchetto di distribuzione ... 34

7 IL PROCESSO DI CONSERVAZIONE ... 36

7.1 Modalità di acquisizione dei pacchetti di versamento per la loro presa in carico . 36 7.1.1 Verifiche effettuate sui pacchetti di versamento e sugli oggetti in essi contenuti ... 37

7.1.2 Accettazione dei pacchetti di versamento e generazione del rapporto di versamento di presa in carico ... 38

7.1.3 Rifiuto dei pacchetti di versamento e modalità di comunicazione delle anomalie ... 39

7.1.4 Preparazione e gestione del pacchetto di archiviazione ... 39

(3)

MC 2 5 25.03.2019 3 / 53

7.1.5 Preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione 40

7.1.6 Produzione di duplicati e copie informatiche e descrizione dell’eventuale

intervento del pubblico ufficiale nei casi previsti ... 41

7.1.7 Scarto dei pacchetti di archiviazione ... 41

7.1.8 Predisposizione di misure a garanzia dell'interoperabilità e trasferibilità ad altri conservatori ... 42

7.1.9 Cessazione del servizio ... 42

7.1.10 Gestione delle segnalazioni da parte dell’utente ... 43

8 IL SISTEMA DI CONSERVAZIONE ... 45

8.1 Componenti Logiche ... 45

8.2 Componenti Tecnologiche ... 47

8.3 Componenti Fisiche ... 48

8.4 Procedure di gestione e di evoluzione ... 48

9 MONITORAGGIO E CONTROLLI ... 49

9.1 Procedure di monitoraggio ... 50

9.2 Verifica dell’integrità degli archivi ... 51

9.3 Soluzioni adottate in caso di anomalie ... 51

10 Appendice A – livelli di servizio (SLA) ... 53

(4)

MC 2 5 25.03.2019 4 / 53

1 SCOPO E AMBITO DEL DOCUMENTO

Il presente Manuale di Conservazione identifica processi e infrastrutture del sistema di conservazione documentale a norma messo in atto da Mediatica S.p.A. (di seguito Mediatica) per la gestione dei documenti propri e dei propri clienti.

Nel documento sono definite le informazioni necessarie per la gestione del sistema di conservazione e per la definizione dei ruoli e delle interazioni con i soggetti esterni con i quali interagisce.

Viene emesso seguendo le indicazioni del documento Schema Manuale Conservazione emesso da Agid in data 16.1.2015.

Nel dettaglio il presente documento definisce:

 i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;

 la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;

 la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva dell’indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni;

 la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;

 la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;

 la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;

 la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime;

 la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie;

 la descrizione delle procedure per la produzione di duplicati o copie;

 i tempi entro i quali le diverse tipologie di documenti devono essere scartate ovvero trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti nel manuale di gestione;

 le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali è previsto il suo intervento;

 le normative in vigore nei luoghi dove sono conservati i documenti.

(5)

MC 2 5 25.03.2019 5 / 53

Tutti i documenti sono emessi dall’RSC in formato elettronico, firmati digitalmente e archiviati tramite Conservazione.

(Torna al Sommario)

(6)

MC 2 5 25.03.2019 6 / 53

2 TERMINOLOGIA (GLOSSARIO E ACRONIMI)

Termine/Acronimo Definizione

Accesso Operazione che consente a chi ne ha diritto di prendere visione ed estrarre copia dei documenti informatici

Affidabilità Caratteristica che esprime il livello di fiducia che l’utente ripone nel documento informatico

AgID Agenzia per l’Italia Digitale

Archivio Complesso organico di documenti, di fascicoli e di aggregazioni documentali di qualunque natura e formato, prodotti o comunque acquisiti da un soggetto produttore durante lo svolgimento dell’attività

Archivio informatico Archivio costituito da documenti informatici, fascicoli informatici nonché aggregazioni documentali informatiche gestiti e conservati in ambiente informatico Attestazione di

conformità delle copie per immagine

su supporto

informatico di un documento

analogico

Dichiarazione rilasciata da notaio o altro pubblico ufficiale a ciò autorizzato allegata o asseverata al documento informatico

Autenticità Caratteristica di un documento informatico che garantisce di essere ciò che dichiara di essere, senza aver subito alterazioni o modifiche. L’autenticità può essere valutata analizzando l'identità del sottoscrittore e l'integrità del documento informatico

Base di dati Collezione di dati registrati e correlati tra loro

CA Certification Authority

Conservazione Insieme delle attività finalizzate a definire ed attuare le politiche complessive del sistema di conservazione e a governarne la gestione in relazione al modello organizzativo adottato e descritto nel manuale di conservazione

Classificazione Attività di organizzazione logica di tutti i documenti secondo uno schema articolato in voci individuate attraverso specifici metadati

Copia analogica del documento

informatico

Documento analogico avente contenuto identico a quello del documento informatico da cui è tratto

Destinatario Identifica il soggetto/sistema al quale il documento informatico è indirizzato Documento Per documento s’intende la rappresentazione informatica o in formato

analogico di atti, fatti e dati intelligibili direttamente o attraverso un processo di elaborazione elettronica.

Documento

informatico La rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

Esibizione Operazione che consente di visualizzare un documento conservato e di ottenerne copia

(7)

MC 2 5 25.03.2019 7 / 53

Evidenza informatica Una sequenza di simboli binari (bit) che può essere elaborata da una procedura informatica

Firma digitale Il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la

provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Formato Modalità di rappresentazione della sequenza di bit che costituiscono il documento informatico; comunemente è identificato attraverso l’estensione del file

FTP Server Programma che permette di accettare connessioni in entrata e di comunicare con un Client attraverso il protocollo FTP

Funzione di hash Una funzione matematica che genera, a partire da una evidenza informatica, una impronta in modo tale che risulti di fatto impossibile, a partire da questa, ricostruire l’evidenza informatica originaria e generare impronte uguali a partire da evidenze informatiche differenti

Generazione

automatica di documento

informatico

Formazione di documenti informatici effettuata direttamente dal sistema informatico al verificarsi di determinate condizioni

Idp Strumento per rilasciare le informazioni di identificazione di tutti i soggetti che cercano di interagire con un Sistema; ciò si ottiene tramite un modulo di autenticazione che verifica un token di sicurezza come alternativa

all'autenticazione esplicita di un utente all'interno di un ambito di sicurezza.

Identificativo univoco Sequenza di caratteri alfanumerici associata in modo univoco e persistente al documento informatico, al fascicolo informatico, all’aggregazione documentale informatica, in modo da consentirne l’individuazione

Impronta La sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash.

Insieme minimo di metadati del documento

informatico

Complesso dei metadati, la cui struttura è descritta nell’allegato 5 del presente decreto, da associare al documento informatico per identificarne provenienza e natura e per garantirne la tenuta

Integrità Insieme delle caratteristiche di un documento informatico che ne dichiarano la qualità di essere completo ed inalterato

Interoperabilità Capacità di un sistema informatico di interagire con altri sistemi informatici analoghi sulla base di requisiti minimi condivisi

IPdA Indice del Pacchetto di Archiviazione

Leggibilità Insieme delle caratteristiche in base alle quali le informazioni contenute nei documenti informatici sono fruibili durante l’intero ciclo di gestione dei documenti Log di sistema Registrazione cronologica delle operazioni eseguite su di un sistema informatico per finalità di controllo e verifica degli accessi, oppure di registro e tracciatura dei cambiamenti che le transazioni introducono in una base di dati

Manuale di

conservazione Strumento che descrive il sistema di conservazione dei documenti informatici ai sensi dell’articolo 9 delle regole tecniche del sistema di conservazione – il presente documento

(8)

MC 2 5 25.03.2019 8 / 53

Marca temporale Una marca temporale (art. 1 DPCM [4]) è un’evidenza informatica risultato di una procedura informatica, con cui si attribuisce, ad uno o più

documenti informatici, un riferimento temporale opponibile ai terzi.

MC Manuale di Conservazione

Memorizzazione Processo di trasposizione su un qualsiasi idoneo supporto, attraverso un processo di elaborazione, di documenti analogici o informatici

Metadati Insieme di dati associati a un documento informatico, o a un fascicolo informatico, o ad un'aggregazione documentale informatica per identificarlo e descriverne il contesto, il contenuto e la struttura, nonché per permetterne la gestione nel tempo nel sistema di conservazione

Pacchetto di archiviazione

Pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento secondo le specifiche contenute nell’allegato 4 del D.P.C.M.

3/12/2013 e secondo le modalità riportate nel presente manuale di conservazione Pacchetto di

distribuzione Pacchetto informativo inviato dal sistema di conservazione all’utente in risposta ad una sua richiesta

Pacchetto di

versamento Pacchetto informativo inviato dal produttore al sistema di conservazione secondo un formato predefinito e concordato descritto nel manuale di conservazione Pacchetto

informativo Contenitore che racchiude uno o più oggetti da conservare (documenti informatici, fascicoli informatici, aggregazioni documentali informatiche), oppure anche i soli metadati riferiti agli oggetti da conservare

PdA Pacchetto di Archiviazione

PdV Pacchetto di Versamento

Piano della sicurezza del sistema di conservazione

Documento che, nel contesto del piano generale di sicurezza, descrive e pianifica le attività volte a proteggere il sistema di conservazione dei documenti informatici da possibili rischi nell’ambito dell’organizzazione di appartenenza

Piano della sicurezza del sistema di gestione informatica dei documenti

Documento, che, nel contesto del piano generale di sicurezza, descrive e pianifica le attività volte a proteggere il sistema di gestione informatica dei documenti da possibili rischi nell’ambito dell’organizzazione di appartenenza

Presa in carico Accettazione da parte del sistema di conservazione di un pacchetto di versamento in quanto conforme alle modalità previste dal manuale di conservazione

Processo di

conservazione

Insieme delle attività finalizzate alla conservazione dei documenti informatici di cui all’articolo 10 delle regole tecniche del sistema di conservazione

Produttore Persona fisica o giuridica, di norma diversa dal soggetto che ha formato il documento, che produce il pacchetto di versamento ed è responsabile del trasferimento del suo contenuto nel sistema di conservazione. Nelle pubbliche amministrazioni, tale figura si identifica con responsabile della gestione documentale

Rapporto di

versamento Documento informatico che attesta l'avvenuta presa in carico da parte del sistema di conservazione dei pacchetti di versamento inviati dal produttore

RC Responsabile della Conservazione

(9)

MC 2 5 25.03.2019 9 / 53

Termine/Acronimo Definizione Responsabile della

gestione documentale

Dirigente o funzionario, comunque in possesso di idonei requisiti professionali o di professionalità tecnico archivistica, preposto al servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi, ai sensi

dell’articolo 61 del D.P.R. 28 dicembre 2000, n. 445, che produce il pacchetto di versamento ed effettua il trasferimento del suo contenuto nel sistema di

conservazione Responsabile della

conservazione Soggetto responsabile dell’insieme delle attività elencate nell’articolo 8, comma 1 delle regole tecniche del sistema di conservazione

Responsabile del

Servizio di

Conservazione

Soggetto persona fisica nominato responsabile del servizio di conservazione di Mediatica S.p.A. con l’assegnazione delle attività indicate nel documento

dell’Agenzia per l’Italia Digitale sui profili professionali richiamati dalla Circolare n.

65/2014 (G.U. n. 89 del 16/04/2014) Responsabile del

trattamento dei dati La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

Riferimento temporale

Informazione, contenente la data e l'ora, che viene associata ad uno o più documenti informatici da una procedura informatica.

RSC Responsabile del Servizio di Conservazione

Scarto Operazione con cui si eliminano, secondo quanto previsto dalla normativa vigente, i documenti ritenuti privi di valore amministrativo e di interesse storico culturale

Sistema di

conservazione Sistema di conservazione dei documenti informatici di cui all’articolo 44 del Codice Sistema di gestione

informatica dei documenti

Nell’ambito della pubblica amministrazione è il sistema di cui all'articolo 52 del D.P.R. 28 dicembre 2000, n. 445; per i privati è il sistema che consente la tenuta di un documento informatico

TSA Time Stamping Authority. Ente terzo che emette i certificati di marcatura Temporale

Utente Persona, ente o sistema che interagisce con i servizi di un sistema di gestione informatica dei documenti e/o di un sistema per la conservazione dei documenti informatici, al fine di fruire delle informazioni di interesse

VPN Virtual Private Network. E’ una rete di telecomunicazioni privata, instaurata tra soggetti che utilizzano, come infrastruttura di trasporto, un sistema di trasmissione pubblico e condiviso, come ad esempio la rete Internet.

Tabella 1 - glossario e acronimi (Torna al Sommario)

2.1 Documenti correlati

Costituiscono parte integrante del presente documento, ma vengono emessi ed aggiornati con atti separati, i seguenti documenti:

 Libro dei Verbali;

 Definizione delle classi documentali.

(10)

MC 2 5 25.03.2019 10 / 53

Entrambi i documenti sono emessi dall’RSC in formato elettronico, firmati digitalmente e archiviati tramite Conservazione.

(Torna al Sommario)

(11)

MC 2 5 25.03.2019 11 / 53

3 NORMATIVA E STANDARD DI RIFERIMENTO 3.1 Normativa di riferimento

E’ di seguito riportata la principale normativa di riferimento per l’attività di conservazione a livello nazionale, eventualmente quella a livello locale in vigore nei luoghi dove sono conservati i documenti e quella specifica relativa alle diverse tipologie di documenti riguardanti il contratto di erogazione del servizio di conservazione.

Queste informazioni sono periodicamente aggiornate in base alle eventuali modifiche della normativa.

Alla data del 16.1.2015 i principali riferimenti normativi italiani in materia, ordinati secondo il criterio della gerarchia delle fonti, sono costituiti da:

 Codice Civile [Libro Quinto Del lavoro, Titolo II Del lavoro nell'impresa, Capo III Delle imprese commerciali e delle altre imprese soggette a registrazione, Sezione III Disposizioni particolari per le imprese commerciali, Paragrafo 2 Delle scritture contabili], articolo 2215 bis - Documentazione informatica;

 Legge 7 agosto 1990, n. 241 e s.m.i. – Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi;

 Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e s.m.i. – Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa;

 Decreto Legislativo 30 giugno 2003, n. 196 e s.m.i. – Codice in materia di protezione dei dati personali;

 Decreto Legislativo 22 gennaio 2004, n. 42 e s.m.i. – Codice dei Beni Culturali e del Paesaggio;

 Decreto Legislativo 7 marzo 2005 n. 82 e s.m.i. – Codice dell'amministrazione digitale (CAD);

 Decreto del Presidente del Consiglio dei Ministri 22 febbraio 2013 – Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma3, lettera b), 35, comma 2, 36, comma 2, e 71;

 Decreto del Presidente del Consiglio dei Ministri 3 dicembre 2013 - Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23- ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005;

 Circolare AGID 10 aprile 2014, n. 65 - Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82.

(Torna al Sommario)

(12)

MC 2 5 25.03.2019 12 / 53

3.2 Standard di riferimento

Si riportano di seguito gli standard di riferimento elencati nell’allegato 3 delle Regole Tecniche in materia di Sistema di conservazione con indicazione delle versioni aggiornate al 1^o ottobre 2014.

 ISO 14721:2012 OAIS (Open Archival Information System), Sistema informativo aperto per l’archiviazione;

 ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems – Requirements, Requisiti di un ISMS (Information Security Management System);

 ETSI TS 101 533-1 V1.3.1 (2012-04) Technical Specification, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 1:

Requirements for Implementation and Management, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;

 ETSI TR 101 533-2 V1.3.1 (2012-04)Technical Report, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 2: Guidelines for Assessors, Linee guida per valutare sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;

 UNI 11386:2010 Standard SInCRO - Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali;

 ISO 15836:2009 Information and documentation - The Dublin Core metadata element set, Sistema di metadata del Dublin Core.

Tale elenco, a cui l’attività di conservazione si riferisce, è periodicamente aggiornato in base agli eventuali nuovi standard adottati.

(Torna al Sommario)

(13)

MC 2 5 25.03.2019 13 / 53

4 RUOLI E RESPONSABILITA’

Sono di seguito indicate le attività svolte e i nominativi delle persone che ricoprono i ruoli cosi come individuati nel documento Profili professionali.

ruoli nominativo attività di competenza periodo nel ruolo eventuali deleghe Responsabile del

Servizio di Conservazione

Stefano Di

Zenzo - Definizione e attuazione delle politiche complessive del sistema di conservazione, nonché del governo della gestione del sistema di conservazione;

- definizione delle caratteristiche e dei requisiti del sistema di conservazione in conformità alla normativa vigente;

- corretta erogazione del servizio di conservazione all’ente produttore;

- gestione delle convenzioni, definizione degli aspetti tecnico- operativi e validazione dei disciplinari tecnici che specificano gli aspetti di dettaglio e le modalità operative di erogazione dei servizi di conservazione.

Da Gennaio 2010 ad

oggi = =

Responsabile Sicurezza dei Sistemi per la Conservazione

Alessandro Di Francesco

- Rispetto e monitoraggio dei requisiti di sicurezza del sistema di conservazione stabiliti dagli standard, dalle normative e dalle politiche e procedure interne di sicurezza;

- segnalazione delle eventuali difformità al Responsabile del

Servizio di

Conservazione e individuazione e pianificazione delle necessarie azioni correttive.

Da Gennaio 2015 ad oggi

= =

(14)

MC 2 5 25.03.2019 14 / 53

ruoli nominativo attività di competenza periodo nel ruolo eventuali deleghe Responsabile

Funzione

Archivistica di Conservazione

Stefano Di

Zenzo - Definizione e gestione del

processo di

conservazione, incluse le modalità di trasferimento da parte dell’ente

produttore, di

acquisizione, verifica di integrità e descrizione archivistica dei documenti e delle aggregazioni documentali trasferiti, di esibizione, di accesso e fruizione del patrimonio

documentario e

informativo conservato;

- definizione del set di

metadati di

conservazione dei documenti e dei fascicoli informatici;

- monitoraggio del

processo di

conservazione e analisi archivistica per lo sviluppo di nuove funzionalità del sistema di conservazione;

- collaborazione con l’ente produttore ai fini del trasferimento in conservazione, della selezione e della gestione dei rapporti con il Ministero dei beni e delle attività culturali per quanto di competenza.

Da Gennaio 2010 ad

oggi = =

Responsabile Trattamento Dati Personali

Adriano

Ricchello - Garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati personali;

- garanzia che il trattamento dei dati affidati dai Clienti avverrà nel rispetto delle istruzioni impartite dal titolare del trattamento dei dati personali, con garanzia di sicurezza e di riservatezza.

Da Gennaio 2015 ad

oggi = =

(15)

MC 2 5 25.03.2019 15 / 53

ruoli nominativo attività di competenza periodo nel ruolo eventuali deleghe Responsabile

Sistemi Informativi

per la

Conservazione

Paolo

Bolognese - Gestione dell’esercizio delle componenti hardware e software del

sistema di

conservazione;

- monitoraggio del mantenimento dei livelli di servizio (SLA) concordati con l’ente produttore;

- segnalazione delle eventuali difformità degli SLA al Responsabile del

Servizio di

Conservazione e individuazione e pianificazione delle necessarie azioni correttive;

- pianificazione dello

sviluppo delle

infrastrutture

tecnologiche del sistema di conservazione;

- controllo e verifica dei livelli di servizio erogati da terzi con segnalazione delle eventuali difformità al Responsabile del

Servizio di

Conservazione.

Da Dicembre 2011 ad

oggi = =

Responsabile

Sviluppo e

Manutenzione del

Sistema di

Conservazione

Paolo Bolognese

- Coordinamento dello sviluppo e manutenzione delle componenti hardware e software del

sistema di

conservazione;

- pianificazione e monitoraggio dei progetti di sviluppo del sistema di conservazione;

- monitoraggio degli SLA relativi alla manutenzione del sistema di conservazione;

- interfaccia con l’ente produttore relativamente alle modalità di trasferimento dei

Da Dicembre 2011 ad oggi

= =

(16)

MC 2 5 25.03.2019 16 / 53

ruoli nominativo attività di competenza periodo nel ruolo eventuali deleghe documenti e fascicoli

informatici in merito ai formati elettronici da utilizzare, all’evoluzione tecnologica hardware e software, alle eventuali migrazioni verso nuove piattaforme tecnologiche;

- gestione dello sviluppo di siti web e portali connessi al servizio di conservazione.

Tabella 2 - ruoli e responsabilità (Torna al Sommario)

(17)

MC 2 5 25.03.2019 17 / 53

5 STRUTTURA ORGANIZZATIVA PER IL SERVIZIO DI CONSERVAZIONE

5.1 Organigramma

Segue uno schema delle strutture organizzative coinvolte nel servizio di conservazione.

Figura 1 - organigramma

coordinati dai ruoli professionali riportati al par. 4.

(Torna al Sommario)

5.2 Strutture organizzative: attività proprie di ciascun contratto di servizio di conservazione.

L’attivazione del servizio di conservazione, a seguito della sottoscrizione di un contratto con un Cliente o per esigenze interne all’Azienda, viene autorizzata dal RSC che provvede alla necessaria configurazione della piattaforma di conservazione e all’aggiornamento degli allegati:

 Libro dei Verbali;

 Definizione delle classi documentali:

o descrizione delle tipologie degli oggetti sottoposti a conservazione

(18)

MC 2 5 25.03.2019 18 / 53

o indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni

o utenze e profilature.

RSC provvede anche a definire le modalità con cui il pacchetto di versamento viene ricevuto e a coinvolgere le strutture a supporto (Gestione Sistemi Informativi e/o Sviluppo Applicativo) per gli adeguamenti infrastrutturali e applicativi necessari.

In generale, gli interventi applicativi sono messi in atto per estrarre i documenti prima che questi vengano memorizzati nella soluzione di conservazione, senza richiedere alcuna modifica della stessa. Qualora ciò sia necessario, o per il necessario supporto durante la vita operativa della stessa, è garantita l’assistenza del fornitore della piattaforma stessa, Andxor Soluzioni Informatiche S.r.l., attraverso uno specifico contratto di supporto.

I processi di change, project e program management sono descritti nei seguenti documenti del Sistema di Gestione della Sicurezza delle Informazioni (SGSI):

- BAI01 – Gestione dei Programmi e dei Progetti;

- BAI06 – Gestione del Change.

(Torna al Sommario)

5.2.1 Acquisizione, verifica e gestione dei pacchetti di versamento presi in carico e generazione del rapporto di versamento;

Per versamento si intende l’insieme di azioni finalizzate all’introduzione di uno o più documenti e dei relativi metadati nel sistema di conservazione. Nel dettaglio si possono distinguere le fasi seguenti:

1. acquisizione da parte del sistema di conservazione del pacchetto di versamento per la sua presa in carico;

2. verifica che il pacchetto di versamento e gli oggetti contenuti siano coerenti con le modalità previste dal presente manuale di conservazione e con le configurazioni delle classi documentali riportate nell’allegato Definizione delle classi documentali;

3. il rifiuto del pacchetto di versamento, nel caso in cui le verifiche di cui al punto 2 abbiano evidenziato delle anomalie;

4. la generazione automatica del rapporto di versamento relativo al pacchetto di versamento, univocamente identificato dal sistema di conservazione e contenente un riferimento temporale, specificato con riferimento al Tempo universale coordinato (UTC), e una o più impronte, calcolate sull’intero contenuto del pacchetto di versamento.

(Torna al Sommario)

(19)

MC 2 5 25.03.2019 19 / 53

5.2.2 Preparazione e gestione del pacchetto di archiviazione;

Il processo di conservazione consiste nella produzione di uno o più pacchetti di archiviazione e dei relativi indici del pacchetto di archiviazione.

Il processo di conservazione viene eseguito periodicamente in base alla configurazione dell’applicativo.

Il Responsabile del Servizio di Conservazione può comunque lanciare il processo di conservazione manualmente attraverso l’interfaccia ogni volta lo ritenga necessario.

La conservazione viene effettuata per ogni classe documentale che abbia una regola di conservazione valida.

Di seguito l’elenco delle attività svolte:

1. per ogni classe documentale presente viene analizzata la regola di conservazione ad essa associata. Le classi documentali per le quali la conservazione è disabilitata non vengono considerate;

2. per ogni classe documentale viene estratta la lista dei documenti da conservare in base alla regola di conservazione;

3. viene prodotto l’indice del pacchetto di archiviazione contenente i metadati di ciascun documento conservato, inclusa l’impronta. Per una descrizione dell’IPdA si veda il paragrafo seguente;

4. l’IPdA viene firmato con le credenziali di RSC o di un suo delegato e contestualmente viene apposta la marca temporale;

5. l’IPdA, l’insieme di tutti i documenti conservati e una serie di altri dati aggiuntivi vengono raggruppati nel pacchetto di archiviazione;

6. il PdA viene salvato e i suoi metadati vengono inseriti nel DB, rendendolo così consultabile e scaricabile. Per una descrizione dettagliata della struttura del PdA si veda il paragrafo 6.3.

(Torna al Sommario)

5.2.3 Preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione e della produzione di duplicati e copie informatiche su richiesta.

Il sistema di conservazione consente ai soggetti autorizzati l’accesso diretto, anche da remoto, ai documenti informatici conservati.

Per esibizione si intende, dunque, l’operazione che consente a tali soggetti la visualizzazione di uno o più documenti conservati e la loro esportazione dal sistema di conservazione attraverso la produzione di un pacchetto di distribuzione selettiva.

Per una descrizione delle interfacce che permettono all’utente di effettuare l’esibizione si veda il manuale utente dell’applicativo.

(Torna al Sommario)

(20)

MC 2 5 25.03.2019 20 / 53

5.2.4 Scarto dei pacchetti di archiviazione

Superato il periodo di conservazione di un pacchetto di archiviazione (definito nella specifica classe documentale), RSC provvede a comunicare al cliente gli estremi del pacchetto pronto per essere scartato. Solo dopo approvazione formale da parte del cliente (salvo diversi accordi specifici sul servizio) procede alla eliminazione del pacchetto di archiviazione, dandone comunicazione al cliente stesso e riportando l’evento sul Libro dei Verbali.

(Torna al Sommario)

5.2.5 Chiusura del servizio di conservazione (al termine di un contratto)

Al termine del contratto RSC provvede alla consegna dell’insieme dei pacchetti di archiviazione con le modalità concordate per il servizio stesso che possono prevedere:

- invio immagine ISO dei pacchetti archivio;

- recupero via API/web service da parte del cliente attraverso le interfacce di interoperabilità messe a disposizione dalla piattaforma.

- altre modalità preventivamente concordate.

Solo dopo formale conferma da parte del cliente della corretta ricezione di tutti i pacchetti di archiviazione, RSC provvede alla eliminazione dell’intero archivio, aggiornando il Libro dei Verbali e la Definizione delle Classi Documentali.

Il documento DQ 8.3.6 07 Piano di Cessazione Servizi di Conservazione contiene i dettagli operativi per lo svolgimento di tale fase.

(Torna al Sommario)

5.3 Strutture organizzative: attività proprie di gestione dei sistemi informativi.

La gestione dei sistemi informativi avviene nel rispetto delle indicazioni del Sistema Qualità Aziendale certificato ISO 9001:2008 e del Sistema di Gestione della Sicurezza delle Informazioni certificato ISO 27001:2013 e costruito nel rispetto dei seguenti standard:

- ISO 27001:2013 - CoBit 5

- Itil v.3

In particolare, il processo DSS01 - Gestione delle Operazioni identifica l’organizzazione messa in atto per coordinare ed eseguire le attività e le procedure operative richieste per fornire i servizi IT con risorse interne ed esterne, ivi compresi l'esecuzione di procedure operative standard predefinite e le attività di monitoraggio richieste, al fine di:

(21)

MC 2 5 25.03.2019 21 / 53

- eseguire le procedure operative: manutenere ed eseguire procedure e task operativi in modo regolare ed affidabile;

- supervisionare le operazioni dei servizi IT affidati a fornitori esterni per garantire la protezione delle informazioni aziendali e l’affidabilità dei servizi erogati;

- monitorare l’infrastruttura IT ed i relativi eventi. Archiviare le informazioni necessarie per ricostruire la successione cronologica delle operazioni e delle altre attività svolte a supporto dell’operatività;

- manutenere le contromisure di protezione da eventi ambientali. Installare apparati specializzati per il controllo ed il monitoraggio dell’ambiente;

- gestire le facilities incluse energia e comunicazioni, in piena con leggi e regolamenti, requisiti tecnici e di business, specifiche del fornitore, linee guida di safety.

Nei successivi paragrafi si illustrano i processi specifici di tale gestione, nonché i ruoli e le responsabilità in gioco.

(Torna al Sommario)

5.3.1 Conduzione e manutenzione del sistema di conservazione

La conduzione e manutenzione del sistema di conservazione è in carico alla struttura di Gestione dei Sistemi Informativi indicata nello schema del par. 5.1.

Tale struttura provvede:

- al monitoraggio dello stato di salute di tutti i sistemi coinvolti (vedi successivo paragrafo);

- alla gestione degli incident, change e progetti evolutivi della piattaforma secondo le indicazioni dei processi del Sistema di Gestione della Sicurezza delle Informazioni:

o processo BAI01 – Gestione dei programmi e dei progetti (vedi par. 5.3.3);

o processo BAI06 – Gestione dei change (vedi par. 5.3.3);

o processo DSS02 – Gestione delle Richieste di Servizio e degli Incidenti. Il processo prevede le seguenti attività:

1. definire gli schemi per la classificazione degli incidenti e delle richieste di servizio: definire gli schemi ed i modelli per la classificazione degli incidenti e delle richieste di servizio.

2. Registrare, classificare e dare priorità ad incidenti e richieste di servizio: identificare, registrare e classificare le richieste di servizio e gli incidenti, assegnando la priorità adeguata.

3. Verificare, approvare ed evadere le richieste di servizio:

selezionare le procedure di richiesta di servizio più appropriate ed accertare che la richiesta soddisfi i criteri definiti al punto 1. Ottenere approvazione, se richiesto, ed evadere la richiesta.

(22)

MC 2 5 25.03.2019 22 / 53

4. Analizzare, diagnosticare e assegnare gli incidenti: identificare e registrare le segnalazioni di incidenti valutando i sintomi descritti dall’utente, determinare le possibili cause, assegnare l’incidente per la risoluzione.

5. Risolvere e recuperare dall’incidente: documentare, applicare e testare le soluzioni temporanee (workaround) o definitive, ed eseguire le azioni di recupero per ripristinare il relativo servizio IT.

6. Chiudere gli incidenti e le richieste di servizio: verificare che le soluzioni adottate per evadere le richieste di servizio e per risolvere gli incidenti siano soddisfacenti, e chiudere il ticket.

7. Tracciare lo stato di avanzamento e produrre la reportistica:

tracciare, analizzare e riportare regolarmente sulle attività di gestione degli incidenti e delle richieste di servizio, al fine di assicurare la presenza delle informazioni necessarie per l’analisi anche in vista di miglioramenti futuri.

(Torna al Sommario)

5.3.2 Monitoraggio del sistema di conservazione

Il monitoraggio del sistema di conservazione è svolto, per la parte funzionale, da RSC che provvede con cadenza annuale a controllare:

- la consistenza e l’integrità dei PdA e dell’IPdA

- l’effettiva leggibilità dei documenti inseriti all’interno dei pacchetti di archiviazione attraverso l’esecuzione di una procedura di controllo che interesserà un adeguato campione dei pacchetti di archiviazione sottoposti a conservazione e la verifica che, per i formati dei file utilizzati per la conservazione dei documenti, sia disponibile sul mercato un visualizzatore aggiornato e conforme alle specifiche del singolo formato di file.

Tutte le procedure di verifica, gli eventuali interventi sul software applicativo, le modifiche delle configurazioni, l’assegnazione delle deleghe a svolgere opportune operazioni, nonché tutti gli avvenimenti importanti o ritenuti tali da RSC ai fini del corretto svolgimento del processo di conservazione saranno opportunamente tracciati sull’apposito Libro dei Verbali.

Il monitoraggio dello stato di salute dell'infrastruttura è gestito dallo stesso gruppo di Gestione dei Sistemi Informativi, attraverso il sistema di monitoraggio predisposto e presidiato h24 per 365 gg/anno (vedi par. 0 e relativi sottoparagrafi), provvedendo ad intercettare eventuali problematiche e ad avviare la relativa risoluzione secondo quanto indicato al paragrafo precedente.

Lo stesso Gruppo provvede al controllo della corretta esecuzione del backup (anche sul sito di Disaster Recovery) almeno su base giornaliera.

La pianificazione ed esecuzione degli audit interni è stata implementata con il SGSI, attraverso documenti di processi e linee guida apposite secondo le indicazioni delle ISO/IEC

(23)

MC 2 5 25.03.2019 23 / 53

27007 e TR 101 533-02. Il dettaglio del processo di audit è riportato nella procedura MEA03- Monitoraggio Analisi e Valutazione della conformità a Requisiti Esterni.

Tutti gli audit svolti prevedono uno stretto controllo della indipendenza degli esaminatori come da documento Segregation-Of-Duties v.1.0 redatto nel rispetto delle indicazioni contenute nel CISA Review Manual 2008, chapter 2, page 112.

Il par. 4.8 del Piano di Sicurezza contiene prescrizioni di dettaglio sul Piano degli Audit Interni di Sistema.

(Torna al Sommario)

5.3.3 Change management;

Eventuali richieste di variazione della infrastruttura sistemistica o applicativa sono gestite nel rispetto del processo BAI06 – Gestione dei change che prevede le seguenti attività:

1. Valutare, dare priorità ed autorizzare le richieste di cambiamento (RFC):

valutare tutte le richieste di cambiamento per determinare l’impatto sui processi di business e sui servizi IT e per stabilire se il cambiamento possa influenzare negativamente l’ambiente operativo. Assicurare che i cambiamenti siano identificati, ordinati per priorità, suddivisi per categorie, valutati, autorizzati pianificati e messi a calendario.

2. Gestire i cambiamenti in emergenza: gestire con attenzione i cambiamenti effettuati in emergenza per assicurarsi che il cambiamento sia sotto controllo e che avvenga in sicurezza. Verificare che il cambiamento sia stimato in modo appropriato ed autorizzato dopo l’avvenuto cambiamento.

3. Tenere traccia e fare report sullo stato dei cambiamenti: definire e mantenere aggiornato un sistema per tracciare e fare report per documentare i cambiamenti rigettati, per comunicare lo stato dei cambiamenti approvati ed in corso di approvazione e di quelli completati. Assicurarsi che i cambiamenti approvati siano implementati come pianificato.

4. Chiudere e documentare i cambiamenti: ogni volta che un cambiamento viene implementato, deve essere aggiornata la documentazione relativa alla soluzione adottata e il manuale utente. Devono essere altresì eventualmente aggiornate le note operative che richiedano modifiche legate al cambiamento effettuato.

Le richieste evolutive più complesse, sono gestite con il processo BAI01 – Gestione dei programmi e dei progetti che prevede le seguenti attività:

1. Mantenere un approccio standardizzato per la gestione dei progetti:

mantenere un approccio standard per la gestione di programmi e progetti che consenta la governance, la gestione delle review, il processo di escalation, le attività di gestione della delivery, focalizzate sul valore e il raggiungimento degli obiettivi di business (requisiti, costi, pianificazione).

2. Avviare e lanciare i progetti: definire e documentare la natura e l'ambito del progetto in modo da sviluppare e confermare tra le parti interessate una

(24)

MC 2 5 25.03.2019 24 / 53

comprensione comune dell'ambito del progetto e come questo è collegato agli altri progetti dentro il programma generale d'investimento dell’IT. La definizione deve essere formalmente approvata dagli sponsor di programma e di progetto.

3. Pianificare un progetto: costruire e mantenere un piano di progetto formale ed approvato che faccia da guida all’esecuzione ed al controllo durante l’intera vita del progetto. Gli obiettivi del progetto devono essere definiti con chiarezza e legati alla creazione e/o al miglioramento delle capacità di business.

4. Gestire la qualità del progetto: gestire la qualità del programma e del progetto in modo allineato con il Sistema di Gestione della Qualità in essere.

5. Gestire il rischio del progetto: eliminare o mitigare i rischi associati ai progetti attraverso un sistematico processo di analisi e valutazione. I rischi affrontati dalla gestione di progetti sono consolidati e registrati centralmente.

6. Monitorare e tenere sotto controllo i progetti: misurare le prestazioni di progetto secondo le metriche chiave come la schedulazione, la qualità, l’assorbimento delle risorse ed i costi. Identificare qualsiasi deviazione rispetto al risultato atteso. Valutare l'effetto delle deviazioni sul progetto e sul programma generale. Riportare i risultati alle parti interessate.

7. Gestire le risorse di progetto e i work package: gestire i work package di progetto specificando requisiti formali di autorizzazione e accettazione, assegnando e coordinando le appropriate risorse di business e dell’IT.

8. Chiudere un progetto o una fase: alla fine di ogni progetto o rilascio,

richiedere alle parti interessate di accertare se il progetto o rilascio ha prodotto i risultati ed il valore atteso. Identificare e comunicare qualsiasi attività

straordinarie richieste per raggiungere i risultati attesi del progetto e i benefici del programma, ed identificare e documentare quanto appreso per usi futuri su progetti, rilasci, e programmi.

I change sono presi in carico dal gruppo di Gestione dei Sistemi Informativi avvalendosi del supporto di:

- Gruppo Sviluppo Applicativo: per la manutenzione evolutiva dei sistemi di estrazione e preparazione dei dati del cliente;

- il fornitore Andxor Soluzioni Informatiche Srl per gli interventi evolutivi della piattaforma di conservazione.

(Torna al Sommario)

5.3.4 Verifica periodica di conformità a normativa e standard di riferimento.

La verifica periodica di conformità a normativa e standard di riferimento è eseguita da RSC in modo continuativo attraverso formazione continua, la registrazione a specifici servizi newsletter del settore e a gruppi di approfondimento.

(Torna al Sommario)

(25)

MC 2 5 25.03.2019 25 / 53

(26)

MC 2 5 25.03.2019 26 / 53

6 OGGETTI SOTTOPOSTI A CONSERVAZIONE 6.1 Oggetti conservati

Il servizio permette il trattamento e la conservazione di qualunque tipologia di documento. Il cliente che intende usufruirne, deciderà per quali tipologie documentali attivare il servizio di conservazione e, collaborerà con Mediatica nelle operazioni di definizione del relativo trattamento.

Nell’allegato Definizione delle classi documentali sono elencate e descritte le tipologie di documenti sottoposti a conservazione e le relative politiche di conservazione. Per ciascuna tipologia sono elencati e descritti i relativi metadati e i formati (comprensivi della relativa versione) dei file utilizzati. Quest’ultima informazione è necessaria in quanto devono essere conservati tutti i visualizzatori relativi ai formati gestiti o le modalità con cui il sistema di conservazione ne garantisce la leggibilità nel tempo. A tale proposito nello stesso documento è predisposta la tabella sotto riportata o, in alternativa, le modalità adottate per garantire la leggibilità dei formati gestiti.

Nome classe Descrizione

*** ***

Area e ufficio Proprietario

documento Periodo

conservazione Documenti previsti nell’anno

Dimension e media documenti

Periodicità invio

conservazione

Periodicità chiusura PdA

*** *** *** *** *** *** ***

Elenco medatati per tipologia (stringa, data, ecc.): ***

Tipo documento - esempio pdf/a: ***

Periodo di transizione (se previsto): ***

Dati personali critici o sensibili: No

Tabella 3 - tabella definizione classe documentale

Anche per i fascicoli devono essere elencate e descritte le diverse tipologie e le relative politiche di conservazione. Per ciascuna tipologia devono essere elencati e descritti i relativi metadati e le strutture.

Vengono di seguito elencati i principali formati digitali supportati per la Conservazione dei documenti digitali, con riferimento ai formati scelti per la conservazione, in linea con quanto indicato nell’allegato n°2 del D.P.C.M. 3 dicembre 2013 - Regole tecniche in materia di Sistema di Conservazione:

Estensione Produttore MIME type Formato Ultima

Versione Standard

.pdf Adobe application/pdf PDF –

PDF/A 1.7 ISO 32000-1 (PDF)

ISO 19005-1:2005 (vers. PDF 1.4)

ISO 19005-2:2011 (vers. PDF 1.7)

.tif Aldus

Corporation in seguito acquistata da Adobe

image/tiff TIFF TIFF 6.0 del

1992 TIFF Supplement 2 del 2002

N.A.